Praxis: Wirksamer Schutz vor Botnetzen

von Lars Bube (lars.bube@crn.de), Bernd Reder

Share
04.12.2009

Wenn Cyberkriminelle fremde Rechner für ihre Botnetze kapern, unterscheiden sie dabei nicht, ob es sich um Firmen- oder Privatgeräte handelt. Einige Praxistipps können Unternehmen jedoch helfen, zu vermeiden, dass ihre Rechner sich als Zombies im Web verselbständigen.

Noch immer sind viele PCs nicht ausreichend vor den akuten Gefahren aus dem Web geschützt.

Knapp zwei Millionen fremdgesteuerte Rechner wurden im Frühling in einem der größten bisher entdeckten Botnetze der Welt gezählt. Dabei ist es den Hintermännern völlig gleichgültig, wem die Rechner eigentlich gehören. Was nicht genügend abgesichert ist, wird gnadenlos verseucht und übernommen. Und obwohl über das Thema inzwischen in den Medien breit berichtet wird, haben viele Privat- und Unternehmensanwender noch keine wirksamen Gegenmaßnahmen ergriffen.

Gerade bei den »professionellen« Anwendern zeigte der Conficker-Wurm deutlich, wo die Versäumnisse liegen: Beispielsweise halten es viele Administratoren und Verantwortliche nicht für nötig, selbst Patches für kritische Sicherheitslücken in ihren Systemen möglichst zeitnah aufzuspielen. Darüber hinaus ist es vielerorts Usus, aus Kostengründen veraltete Sicherheitssoftware zu nutzen. Bei knapp neuen 2.000 Virenvarianten pro Tag sind solche Verhaltensweisen ein stetiges Vabanque-Spiel mit den Unternehmensdaten.

Für die Hintermänner ist das hingegen das reinste Paradies. Der Handel mit Botnetzen hat sich zu einem lukrativen Geschäftszweig der Schattenwirtschaft entwickelt. Für Preise von bis zu 25 bis 500 Dollar pro Paket mit tausend Rechnern vermieten die Kriminellen ihre Botnetze an Interessenten, die damit etwa Spam verschicken, oder weitere Infektionen auf den Weg bringen können.

Achtung wenn der Rechner »spinnt«

Als wirksamer Schutz sollte stets eine aktuelle Anti-Viren-Software eingesetzt und auf aktuellem Stand gehalten werden. Auch den Mitarbeitern sollten regelmäßig die Sicherheitsrichtlinien des Unternehmens, etwa zum Umgang mit USB-Sticks oder verdächtigen Mails, verdeutlicht werden.

Doch auch dafür, ob es bereits »zu spät« ist, und der Rechner infiziert, gibt es einige deutlich Signale, die Sicherheitsspezialist Message Labs [1] zusammengefasst hat: • eine deutlich langsamere Arbeitsgeschwindigkeit; kein Wunder, denn das System muss auch andere Jobs abarbeiten, nicht nur diejenigen, die ihm der rechtmäßige Benutzer aufbürdet;
• Abstürze häufen sich;
• auf dem Display zeigen sich hin und wieder merkwürdige Kommandos; diese stammen vom Management-Server des Bot-Netz-Betreibers;
• der Netzwerk-Traffic nimmt zu, obwohl keine neuen Rechner ins LAN integriert wurden oder sich die Zahl der Downloads/Uploads nicht erhöht hat. Die Netzwerk- oder DSL-Verbindung wird zudem ungewöhnlich langsam;
• die Java-Konsole taucht in der Taskbar auf, obwohl der Anwender keine Java-Anwendung ausführt.

[1] http://www.messagelabs.com/

Verwandte Artikel